Закон Калифорнии о защите персональных данных потребителей (CCPA)

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие правила защиты данных (GDPR), подобные права для потребителей, "отказ" для определенных передач данных и требование "согласие" для несовершеннолетних.

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.

CCPA вступает в силу 1 января 2020 г. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.

Многие права CCPA, предоставляемые калифорнийцам, похожи на права, предоставляемые GDPR, включая запросы на раскрытие информации и потребительские запросы, аналогичные запросам на право субъекта данных (DSR), таким как доступ, удаление и переносимость. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:

• Поиск: определите, какие личные сведения у вас есть и где они хранятся.
• Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
• Управление: управляйте использованием данных и доступом к ним.
• Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
• Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.

Вы должны понимать, какие обязательства вашей организации связаны с CCPA и как вы их выполняете, хотя корпорация Майкрософт здесь, чтобы помочь вам в вашем путешествии.

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего:

• предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
• включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;
• предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;
• Включите элемент управления, который позволит потребителям отказаться от "продажи" данных потребителя. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена.
• Для несовершеннолетних, в возрасте до 16 лет, включите процесс согласия, чтобы продажа личной информации несовершеннолетнего не произошла без активного согласия на продажу.
• Убедитесь, что потребители могут осуществлять все свои права по CCPA.

В соответствии с CCPA необходимо предоставить следующую информацию:

• категории личных сведений потребителя, которые были собраны;
• категории источников, используемых при сборе;
• бизнес-цели или коммерческие цели сбора данных;
• Категории третьих лиц, с которыми персональные данные являются "общими".
• Категории личной информации, которая была "продана", и категории "третьих лиц", которым была продана каждая категория персональных данных.
• Категории личной информации, которая была "раскрыта для бизнес-целей" (то есть передана, но не "продажа") и категории "третьих лиц", которым была передана каждая категория персональных данных.
• отдельные части личных сведений, которые были собраны о потребителе.

Определение "продажи" в CCPA невероятно широкое, в том числе "предоставление личной информации" третьей стороне для денежных или других ценных соображений. Если потребитель выбрал "отказаться", компания будет обязана отключить поток личной информации третьим лицам.

CCPA предоставляет ряд резных выходов для этого "продажи" отказа контроля. Тремя основными вариантами являются передачи (i) поставщику услуг, (ii) "освобожденной сущности" или "подрядчику" и (iii) в направлении потребителя. Даже если потребитель решил "отказаться", личная информация может продолжать передаваться третьим лицам, которые вписываются в эти вырезаемые.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.

В контексте CCPA предприятия — это физические или юридические лица, которые определяют цели и средства обработки персональных данных потребителя, а поставщики услуг — это физические или юридические лица, обрабатывающие информацию от имени компании. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.

Частное право на иск в CCPA ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA. Мы также рассмотрели наши сторонние соглашения об обмене данными и приняли меры, чтобы установить, что существуют необходимые договорные условия, чтобы гарантировать, что мы не "продаем" личную информацию.

• Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA.
• Создайте процесс эффективного реагирования на запросы потребителей.
• Настройте метки и политики для обнаружения, классификации & меток и защиты конфиденциальных данных с помощью Защита информации Microsoft Purview.
• Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.
• Дополнительные сведения см. в этой записи блога.

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

• обязательства по прозрачности и предоставлению информации;
• права потребителей на доступ, удаление и получение копии данных;
• Определение "поставщиков услуг", аналогичное тому, как GDPR определяет "обработчиков" с аналогичным договорным обязательством.
• Определение "предприятия", которое включает определение "контроллеров" в GDPR.

Самое большое различие в CCPA — это основное требование, позволяющее отказаться от продажи данных третьим лицам (при этом "продажа" широко определена для предоставления общего доступа к данным для рассмотрения). Это более узкое и более конкретное обязательство, чем широкое право GDPR на возражение против обработки, которое охватывает этот тип "продажи", но не ограничивается этим типом совместного использования.

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу. Нет различия между личными, общественными или рабочими ролями человека. Определенный термин "личная информация" примерно соответствует "персональным данным" в соответствии с GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.

Вот некоторые примеры персональных данных.

Идентификация

• Имя
• Домашний адрес
• Рабочий адрес
• Номер телефона
• Номер мобильного телефона
• Адрес электронной почты
• Номер паспорта
• Номер национального удостоверения личности
• Номер социального страхования (или его эквивалент)
• Водительское удостоверение
• Физическая, физиологическая или генетическая информация
• Медицинские сведения
• Культурная принадлежность

Финансы

• Банковские реквизиты и номера счетов
• Номер налогоплательщика
• Номера кредитных и дебетовых карт
• Публикации в социальных сетях

Артефакты в сети

• Публикации в социальных сетях
• IP-адрес (для региона ЕС)
• Местоположение и данные GPS
• Файлы cookie

• CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
• Для детей в возрасте от 13 до 16 лет CCPA налагает новое обязательство по получению согласия на согласие от ребенка на любую "продажу" его личной информации.

В октябре 2019 года в CCPA был принят ряд поправок. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия. Однако для этой поправки установлен срок действия, равный одному году. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.  

Нет. Как поставщик веб-службы, мы принимаем меры, чтобы гарантировать, что мы квалифицируемся как "поставщик услуг" в соответствии с CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.